Firma SAP publikuje aktualizacje bezpieczeństwa 03/2026 (P26-088)

utworzone przez | mar 13, 2026 | Aktualizacje

10 marca 2026 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa, mające na celu usunięcie luk w zabezpieczeniach wielu produktów.

Krytyczne luki w zabezpieczeniach

Pierwsza krytyczna luka dotyczy SAP Quotation Management Insurance (FS QUO) i jest powiązana z luką CVE 2019 17571, długotrwałą luką w deserializacji Log4j, która może umożliwić zdalne wykonywanie kodu. SAP klasyfikuje ją z wynikiem CVSS na poziomie 9,8, co podkreśla wagę zagrożenia. Drugi krytyczny problem, CVE 2026 27685, pojawia się w SAP NetWeaver Enterprise Portal Administration i dotyczy niebezpiecznej deserializacji, która może umożliwić uprzywilejowanemu atakującemu eskalację kontroli na poziomie hosta. Obie luki reprezentują scenariusze, w których atakujący mogliby potencjalnie przejąć kontrolę nad systemami, jeśli poprawki nie zostaną szybko zastosowane.

Luki wysokiego priorytetu

Wśród notatek o wysokim priorytecie znajduje się CVE 2026 27689, luka umożliwiająca atak typu „odmowa usługi” w SAP Supply Chain Management. Może ona zostać wywołana przez określone funkcje, powodując wyczerpanie zasobów i zakłócając działanie systemu. Inna luka wysokiego priorytetu, CVE 2026 24316, to luka w SAP NetWeaver AS ABAP umożliwiająca fałszowanie żądań po stronie serwera (SSRF), która może umożliwić atakującym wysyłanie zmodyfikowanych żądań do systemów wewnętrznych, które normalnie byłyby niedostępne.

Luki średniego priorytetu

Większość pozostałych notatek należy do kategorii średniej ważności. Należą do nich brak kontroli autoryzacji w komponentach NetWeaver, przestarzałe biblioteki innych firm, takie jak OpenSSL w Adobe Document Services, oraz luki w konfiguracji, które mogą prowadzić do niezabezpieczonego przechowywania danych lub sytuacji odmowy usługi.

Nr notyOpisPriorytetCVSSKomponent
3698553[CVE‑2019‑17571] Luka typu Code Injection w aplikacji SAP Quotation Management Insurance (FS‑QUO)HotNews9.8FS‑QUO
3714585[CVE‑2026‑27685] Niebezpieczna deserializacja w SAP NetWeaver Enterprise Portal AdministrationHotNews9.1BC‑PIN‑PCD
3697567[CVE‑2026‑23687] XML Signature Wrapping w SAP NetWeaver AS ABAP i ABAP PlatformWysoki8.8BC‑SEC‑WSS
3719502[CVE‑2026‑27689] Odmowa usługi (DoS) w SAP Supply Chain ManagementWysoki7.7SCM‑APO‑INT‑EXT
3695912[CVE‑2026‑24324] Odmowa usługi (DoS) w SAP BusinessObjects BI Platform (AdminTools)Średni6.5BI‑BIP‑SRV
3672622[CVE‑2026‑0484] Brak kontroli autoryzacji w SAP NetWeaver AS ABAP i SAP S/4HANAŚredni6.5BC‑DWB‑CEX‑CF
3703856[CVE‑2026‑24309] Brak kontroli autoryzacji w SAP NetWeaver AS ABAPŚredni6.4BC‑DB‑ORA‑CCM
3697355[CVE‑2026‑27684] SQL Injection w SAP NetWeaver (Feedback Notification)Średni6.4CA‑NO
3689080[CVE‑2026‑24316] Server‑Side Request Forgery (SSRF) w SAP NetWeaver AS ABAPŚredni6.4BC‑TWB‑TST‑ECA
3693543[CVE‑2026‑0489] DOM‑based XSS w SAP Business One (Job Service)Średni6.1SBO‑CRO‑SEC
3703385[CVE‑2026‑27686] Brak kontroli autoryzacji w SAP Business Warehouse (Service API)Średni5.9BC‑BW
3701020[CVE‑2026‑27687] Brak kontroli autoryzacji w SAP S/4HANA HCM Portugal i SAP ERP HCM PortugalŚredni5.8PY‑PT
3708457[CVE‑2026‑24311] Niezabezpieczone przechowywanie danych w SAP Customer Checkout 2.0Średni5.6IS‑SE‑CCO
3699761[CVE‑2026‑24317] DLL Hijacking w SAP GUI for Windows z aktywnym GuiXTŚredni5.0BC‑FES‑GXT
3704740[CVE‑2026‑27688] Brak kontroli autoryzacji w SAP NetWeaver AS ABAPŚredni5.0BC‑DB‑SDB
3707930[CVE‑2026‑24313] Brak kontroli autoryzacji w SAP Solution Tools Plug‑In (ST‑PI)Średni5.0SV‑SMG‑SDD
3396109[CVE‑2024‑22128] XSS w SAP NetWeaver Business Client for HTMLŚredni4.7BC‑FES‑BUS
3700960[Wiele CVE] Odmowa usługi z powodu przestarzałej wersji OpenSSL w SAP NetWeaver AS Java (Adobe Document Services)Średni4.3BC‑SRV‑FP
3646297[CVE‑2026‑24314] Ujawnienie informacji w SAP S/4HANA (Manage Payment Media)Średni4.3FI‑FIO‑AP‑PAY
3694383[CVE‑2026‑24310] Brak kontroli autoryzacji w SAP NetWeaver AS ABAPNiski3.5BC‑DB‑INF